Fortinet 终于公开了有关 CVE-2024-47575 的信息,这是一个关键的 FortiManager 漏洞,攻击者已将其作为零日漏洞加以利用。
关于 CVE-2024-47575
CVE-2024-47575 是由於 FortiManager 的 fgfmd daemon 中的一個關鍵功能缺少驗證而導致的漏洞。未经身份验证的远程攻击者可利用该漏洞,通过特制请求执行任意代码或命令。
该漏洞影响 FortiManager 和 FortiManager Cloud 的多个版本,以及一些较早的 FortiAnalyzer 型号。
“报告显示,该漏洞在野外已被利用,”Fortinet 的公告称。
Fortinet公告称:“已确定的野外攻击行动是通过脚本从FortiManager自动渗出各种文件,其中包含受管设备的IP、凭据和配置。在目前阶段,我们还没有收到在这些被入侵的 FortiManager 系统上安装任何低级恶意软件或后门程序的报告。据我们所知,没有迹象表明管理设备的数据库被修改,或被连接和修改。”
该公告建议升级到固定版本,概述了可能的解决方法,并提供了已知的入侵指标(IoCs)。
不完美的披露
大约十天前,Fortinet 与部分客户分享了该漏洞的详细信息和缓解建议。该非公开通知并不打算在接收者组织之外共享。
但该漏洞已经被人利用,而在网络安全圈内,消息传播得很快。受人尊敬的独立安全研究员凯文-博蒙特(Kevin Beaumont)并没有收到 Fortinet 的通知,他开始拼凑信息并在网上分享。
他总结道:“威胁者一直在利用(今年早些时候的)另一个CISA KEV漏洞进入FortiGate,然后利用这个漏洞进入管理FortiManager,再利用这个漏洞回到下游–即跳过分区网络。”
Rapid7 公司的漏洞研究主管凯特琳-康顿(Caitlin Condon)证实,他们的客户 “也报告说收到了服务提供商的通信,表明该漏洞可能已在他们的环境中被利用”。
Fortinet 告诉 Help Net Security,在发现该漏洞后,他们已及时向客户通报了重要信息和资源。
“这符合我们负责任的披露流程和最佳实践,使客户能够在向包括威胁行为者在内的更广泛受众公开发布建议之前加强其安全态势。我们敦促客户按照我们提供的指导实施变通方法和修复措施,并继续跟踪我们的公告页面以获取更新。我们将继续与适当的国际政府机构和行业威胁组织协调,作为我们持续应对措施的一部分。”
更新(美国东部时间 2024 年 10 月 24 日上午 11:00):
Mandiant 的分析师周四分享道:“2024 年 10 月,Mandiant 与 Fortinet 合作调查了不同行业中 50 多台可能受到攻击的 FortiManager 设备被大规模利用的情况。”
他们说,一个新的威胁集群–被追踪为UNC5820–早在2024年6月27日就开始利用FortiManager漏洞。
“UNC5820利用FortiManager管理的FortiGate设备的配置数据。这些数据包含所管理设备的详细配置信息,以及用户和他们的 FortiOS256 加密密码。”
他们说,这些数据可用于进一步入侵FortiManager,横向移动到受管的Fortinet设备,并以企业环境为目标,但他们指出,他们没有发现威胁行为者实际使用这些数据来实现这一目标的证据。
报告中包含了已知的 IoC。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容